現(xiàn)代科技發(fā)展突飛猛進(jìn),無線傳輸隨著無線網(wǎng)絡(luò)的普及和路由器的大量應(yīng)用,方便了大家的日常生活但是也給了不懷好意的黑客和蹭網(wǎng)者生存和發(fā)展的空間。
1、威脅無線局域網(wǎng)安全的因素
(1)未經(jīng)授權(quán)的用戶沒有遵守運營商提出的服務(wù)條款,非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源,由于無線局域網(wǎng)的開放式訪問方式,不僅會占用寶貴的無線信道資源,增加帶寬費用,降低合法用戶的服務(wù)質(zhì)量,而且,甚至可能導(dǎo)致法律糾紛。
(2)非法用戶通過偵聽等手段在無線環(huán)境中獲得網(wǎng)絡(luò)中合法站點的MAC地址,比有線環(huán)境中要容易得多,這些合法的MAC地址可以被用來進(jìn)行惡意攻擊。
另外,由于IEEE802.11沒有對AP身份進(jìn)行認(rèn)證,非法用戶很容易裝扮成AP進(jìn)入網(wǎng)絡(luò),并進(jìn)一步獲取合法用戶的鑒別身份信息,通過會話攔截實現(xiàn)網(wǎng)絡(luò)入侵。
(3)多數(shù)企業(yè)部署的WLAN都在防火墻之后,這樣WLAN的安全隱患就會成為整個安全系統(tǒng)的漏洞,一旦攻擊者進(jìn)入無線網(wǎng)絡(luò),它將成為進(jìn)一步入侵其他系統(tǒng)的起點。只要攻破無線網(wǎng)絡(luò),就會使整個網(wǎng)絡(luò)暴露在非法用戶面前。
2、無線局域網(wǎng)的安全使用
2.1 采用WPA加密協(xié)議
為了彌補(bǔ)WPE協(xié)議的重大安全隱患,WiFi聯(lián)盟在“COMDEX FALL 2002”展會上推出了WPA標(biāo)準(zhǔn),WPA是目前最好的無線安全加密系統(tǒng),它是繼承了WEP的基本原理而又解決了WEP缺點的一種新技術(shù),由于加強(qiáng)了生成加密密鑰的算法。無論搜集到多少這樣的數(shù)據(jù),要想破解出原始的通用密鑰幾乎是不可能的,而且現(xiàn)在針對WPA破解軟件大多的工作原理是從空中抓取數(shù)據(jù)包到本地然后通過密碼字典來暴力破解,效率比較低下。
2.2 使用相同的SSID名稱
SSID是一個無線局域網(wǎng)絡(luò)(WLAN)的名稱。SSID是區(qū)分大小寫的文本字符串,是一個最大長度不超過32個字符的字母數(shù)字字符(字母或數(shù)字)的順序(當(dāng)然,這個名字你可以自己隨便取)。所以無線局域網(wǎng)上的所有無線設(shè)備必須使用相同的SSID才能進(jìn)行互相溝通。在無線局域網(wǎng)中SSID作用非常重要,它能阻隔其他無線設(shè)備訪問您的無線局域網(wǎng)(無論是有意或無意地)。要進(jìn)行通信,無線設(shè)備必須使用相同的SSID名稱。
2.3 綁定MAC和IP地址
如果家里有比較老舊的無線設(shè)備而只有采用WEP加密的話,那么建議在路由器端設(shè)置MAC地址過濾,同時關(guān)閉SSID廣播和DHCP服務(wù),并且使用不太常用的私有網(wǎng)段而不是默認(rèn)的192.168.0.x,來獲得比單一的WEP加密更好的網(wǎng)絡(luò)安全性。這種做法不足之處在于家有的接入設(shè)備都需要手動設(shè)置方可連入,而如果碰到有心人的話,經(jīng)過足夠長的時間,使用Aircrack-ng之類的軟件抓取到足夠多的無線通信數(shù)據(jù)包后,依然可以發(fā)現(xiàn)并破解貴府的無線局域網(wǎng)。
2.4 VPN技術(shù)
VPN,虛擬專用網(wǎng)絡(luò),等于在你的電腦和你公司(或單位)的VPN服務(wù)器之間建立了一條你專用的“隧道”,“隧道”不需要物理(就是實物)鏈路,所以“虛擬”。你用賬號密碼登陸后就和你公司的內(nèi)網(wǎng)建立了安全的連接(別人看不到傳輸?shù)膬?nèi)容,所以很安全),然后就可以在你的電腦上使用公司內(nèi)網(wǎng),像在公司一樣辦公了。VPN不是硬件(雖然建立VPN需要服務(wù)器),也不是軟件(雖然需要客戶端軟件的支持),更不是路由器的一個功能(雖然好的路由器刷DDWRT固件后可以實現(xiàn)VPN服務(wù)器的功能),它是一種網(wǎng)絡(luò)技術(shù)。由于VPN在國內(nèi)的大量使用,所以有人認(rèn)為是代理服務(wù)器,其實它只是連接著一個代理服務(wù)器,而本身是一條安全的網(wǎng)絡(luò)隧道,建立你的電腦與代理服務(wù)器之間的安全連接。當(dāng)然,如果用于正常用途,連接的就是一個局域網(wǎng)(比如公司內(nèi)網(wǎng))。
這樣,所有的商業(yè)應(yīng)用程序,文件共享或是網(wǎng)絡(luò)訪問都由公司的網(wǎng)絡(luò)來完成。市面上的選擇很多,推薦Open個人虛擬網(wǎng)絡(luò)。
2.5 無線入侵檢測系統(tǒng)
就是依照一定的安全策略,對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。
2.6 加強(qiáng)身份驗證和授權(quán)
(1)開啟 WEP 加密。有勝于無,如果沒有它,您就根本不會獲得任何驗證。
(2)如果您的 AP 支持它,請關(guān)閉 SSID 廣播并且使您的網(wǎng)絡(luò)成為一個閉合網(wǎng)絡(luò)。誠然,這種安排會給客戶端造成一些麻煩;Windows XP 在自動查找無線網(wǎng)絡(luò)方面做得很好,但是卻無法自動找到閉合網(wǎng)絡(luò)――您的用戶將必須手動輸入 SSID 名稱。
(3)請注意您的 WLAN 創(chuàng)建的無線電波覆蓋范圍。如果您能夠拒竊聽者和入侵者于您的信號覆蓋范圍之外,將有助于把驗證問題減少到最低限度。(但不要忘記聰明的人還是能夠使用各種天線從相當(dāng)遠(yuǎn)的距離竊聽信號)。
(4)可以通過一些其他方法來彌補(bǔ)您的 WLAN 驗證。如果您允許通過 WLAN 直接訪問您的內(nèi)部系統(tǒng),可能需要考慮該計劃,可能需要將 WLAN 移出防火墻,并且需要用戶通過 VPN 訪問網(wǎng)絡(luò),就像他們從家里進(jìn)行訪問一樣。另一種可選方法是對您的 WLAN 客戶端分配一個單獨的 IP 地址范圍,然后在您的內(nèi)聯(lián)網(wǎng)站點上應(yīng)用基于 IP 的訪問控制。
文中分析并給出了一些應(yīng)對的方法,不一定全部正確,但基本思路是沒有問題的。泄密事件頻發(fā),提醒我們應(yīng)該更加注重自己的隱私安全。亡羊補(bǔ)牢不如未雨綢繆,做好防護(hù)工作,適當(dāng)采取些隱私防護(hù)工具,才能讓自己更放心。